第3回九州ngn研究会技術セミナー ホームゲート...
TRANSCRIPT
© Hitachi, Ltd. 2008. All rights reserved.
2008/07/04
株式会社 日立コミュニケーションテクノロジー
© Hitachi, Ltd. 2008. All rights reserved.
第3回 九州NGN研究会 技術セミナーホームゲートウェイの役割と日立の取組み
ネットワークを含めた日立の取り組み編
© Hitachi, Ltd. 2008. All rights reserved.
1. IPv4からIPv6へ
2. IPv6ネットワーク構築に向けて
Contents
3. デモ
© Hitachi, Ltd. 2008. All rights reserved.
IPv4からIPv6へ
1
3© Hitachi, Ltd. 2008. All rights reserved.
IPv4が抱える問題とIPv6の誕生1-1.
現状のネットワーク
企業やキャリア網、アクセス網など、多くのネットワークがIPv4によって構築されている。しかし、急速に普及が進み、IPv4 ネットワークは限界に近づいている。
IPv4が抱える課題
①IPv4アドレス枯渇問題
②NATの課題
このような問題を解決するため
IPv6の誕生
■ IPv4 の基本的な概念を踏襲
■ 広いアドレス空間に基づく新しいネットワーク・プロトコル開発の必要性
内容は次ページに説明
4© Hitachi, Ltd. 2008. All rights reserved.
IPv4が抱える課題 -アドレス枯渇問題1-2.
①IPv4アドレス枯渇問題
急激にインターネットの利用機器が増加した中国、インドなどをはじめ、日本などでもIP アドレス枯渇が現実のものとなりつつある。2010年頃にはIPv4アドレスが枯渇すると予測されている。
:プライベートIPアドレス
:グローバルIPアドレス
PCインターネット
PC
PCルータ
【NAPT技術によるグローバルIPアドレスの共有】
【プライベートIPアドレス+ポート番号】を単位として【グローバルIPアドレス+ポート番号】へ変換する。
5© Hitachi, Ltd. 2008. All rights reserved.
IPv4が抱える課題 –NATの課題1-3.
②NATの課題
■ピア・ツー・ピアでの接続に対する障害プライベートIPアドレスを付与されたホストには、外部から直接アクセスできないことが多い。
■悪意のある利用がなされた場合の匿名性が高い複数のプライベートIPアドレスからのアクセスを1つのグローバルIPアドレスで共有するため、外部からはどのホストからのアクセスか特定が困難。
:プライベートIPアドレス
:グローバルIPアドレス
インターネット
PC
PC
ルータ
【NAT(NAPT)使用時の課題】
PC
?
ポート番号の対応ができないので、プライベートIPアドレスの装置に外部から直接アクセスすることができない。
PC
?同様に不正アクセス等を追跡しようとしても秘匿性が高く特定できない場合がある。
6© Hitachi, Ltd. 2008. All rights reserved.
IPv4課題の解決 -IPv6ネットワークの特徴1-4.
①IPv4アドレス枯渇問題→豊富なIPアドレス
32bit→128bitへ拡張(約43億→約43億個の4乗個)。ほぼ無尽蔵。
IPv4: 32bit
IPv6: 128bit
アドレス長が4倍
②NATの課題→ピア・ツー・ピアでの接続
全ての端末にIPv6アドレスの割当、従来のNATによる変換が不要。→ピア・ツー・ピアでの接続が可能になり、匿名性はなくなる。→全ての端末が特定可能となる。
:グローバルIPアドレス
PC
インターネットPC
PCルータ
ローカルネットワークのホストへ外部から直接アクセス可能
7© Hitachi, Ltd. 2008. All rights reserved.
IPv4 / IPv6の比較1-5.
○全グローバルアドレスなので容易に可能
ローカルネットワーク内でもグローバルアドレスを持つため、外部からのアクセスが容易に可能。
×プライベートアドレスへのアクセスは難しい
ローカルネットワーク上のアドレスを特定するのは難しい。UPnP等が必要となる。
遠隔アクセス
○固定長
オプションはヘッダを追加する方式のため、基本的なヘッダは固定長。チェックサムもないため、バックボーンルータの処理負荷が少ない。
×可変長
オプションによって長さが変化する。さらにチェックサムもあるため、バックボーンルータでは処理負荷が大きくなってしまう。
ヘッダ長
○標準オプション
より手軽にセキュアな通信が可能。
△上位層で対応する必要あり。
さらに、NAT/NAPTとの併用で使用する際に様々な注意が必要。
IPsec
△外部からアクセスが容易に可能
遠隔アクセスが容易であるため、その反面外部からの攻撃にさらされる場合があるため、より高いセキュリティが必要。
○ローカルアドレスを隠蔽可能
NAT/NAPTによってローカルアドレスを外部から保護できる。
セキュリティ
◎自動生成
ホストが自動的に自分のアドレスを生成するため、手間がかからない。
○DHCP/固定DHCPサーバによって配布、または固定で設定。
アドレス設定
△認識度、技術者の数も少ない
まだ発展途中の技術であり、導入の際の検証に手間がかかる。既存製品が使えない場合が多く、追加投資がかかるのも大きな壁。
○技術者が多数
成熟した技術が多く、対応製品も多数あるため導入が容易。
導入しやすさ
△一部のOSでは対応不可Linuxをはじめ、最近はサポートしているOSが多くはなってきたが、まだ不安定なものも多い。
○ほぼ全てが対応
現在のネットワークはIPv4がほとんどであるため、どのOSでも問題なく動作する。
対応OS
○ほぼ無限
全端末にアドレスを付与しても問題無い。
×少ない既に枯渇問題が発生している状況。アドレス数
IPv6IPv4項目
© Hitachi, Ltd. 2008. All rights reserved.
IPv6ネットワーク構築に向けて
2
9© Hitachi, Ltd. 2008. All rights reserved.
2-1.
①IPv4/IPv6ネットワーク共存のための技術
■相互接続という点においては互換性はない。
■ネットワーク製品のIPv6対応は未完了で、緩やかなIPv6化が現実的。
IPv6導入時の検討事項
②複数装置収容とサービス提供のための技術
■IPv4からIPv6への移行中は、IPv4とIPv6の複数の機器が共存。
■IPv4/6の特徴の違いからサービス内容やセキュリティの考慮も異なる。
LAN(IPv4/IPv6)
IPv6サービス
・どんな網構成か?
IPv4サービス
IPv6
IPv4
IPv6サービス
IPv4サービス
・IPv4 および IPv6プロトコル対応機器を収容・機器のセキュリティ保護に関する考慮・多様なサービス内容への対応
IPv6LAN(IPv4/IPv6)
IPv4サービス網
10© Hitachi, Ltd. 2008. All rights reserved.
IPv6導入時の検討事項①IPv4/IPv6ネットワーク共存のための技術2-2.
IPv4とIPv6ネットワークの共存のための技術■トンネル方式:「IPv6 over IPv4」と「IPv4 over IPv6」■デュアルスタック方式
1.トンネリング方式 (IPv6 over IPv4)
IPv6サービス
GW
GWIPv4サービス(インターネット等)
IPv4ネットワーク
IPv6 over IPv4
IPv6
IPv4
2.トンネリング方式 (IPv4 over IPv6)
IPv6サービス
GW
GW
IPv6ネットワーク
IPv4 over IPv6IPv6
IPv4IPv4サービス(インターネット等)
3.デュアルスタック方式
IPv6サービス
GW
IPv4/IPv6ネットワーク
IPv6
IPv4IPv4サービス(インターネット等)
IPv4/IPv6デュアルスタック
LAN(IPv4/IPv6)
LAN(IPv4/IPv6)
LAN(IPv4/IPv6)
11© Hitachi, Ltd. 2008. All rights reserved.
2-3.
HGW
機器 機器
HGW
機器 機器
HGW
機器 機器
NGNIPv4/IPv6
外部ネットワーク
【IPv4/IPv6デュアルスタックネットワーク】
LANIPv4/v6
LANIPv4/v6
LANIPv4/v6
脅威
課題①:HGWによる NGN Adaptation
■SIP連携オンデマンドVPN(デモ)
■OSGiバンドルによるALG
課題②:安全な宅内機器アクセス
■OSGiバンドルによる動的FW制御(デモ)
■SIPピンホール制御
IPv6遠隔管理機能
既存IPv4機器に加え新規IPv6機器を収容する機能
IPv6導入に必要になる機能
2
1
#
安全な宅内機器アクセス
HGWによるNGN Adaptation
課題
HGWにて課題を解決
管理端末
IPv6本格導入時代の検討事項②複数装置収容とサービス提供のための技術
12© Hitachi, Ltd. 2008. All rights reserved.
2-4.
LAN内のPC(IPv4/IPv6機器)とNGN網側のサーバ(IPv4機器)をシームレスに接続するLAN内のPC(IPv4/IPv6機器)とNGN網側のサーバ(IPv4機器)をシームレスに接続する
SIP連携オンデマンドVPN(デモ)
NGN-SIPシグナリングに同期してオンデマンドでVPNトンネルを張る。
IPv4機器
IPv6機器HGW
OSGiバンドルによるALG
OSGiバンドルのALG(Application Level Gateway)でIPv4/IPv6変換。
サーバのアクセス用にピンホール制御要求
サーバのアクセス用にピンホール制御要求
②SIPによるピンホール要求でファイアウォールを開放
SIPによるピンホール要求でファイアウォールを開放
SIPサーバ①
IPv4パケットをIPv6パケットに包んでNGN網内をQoSルーティングIPv4パケットをIPv6パケットに包んでNGN網内をQoSルーティング
③
LAN(IPv4/IPv6)
NGN(IPv4/IPv6)
SIPによるNGN網内FWピンホール制御SIPによるNGN網内FWピンホール制御
HGWによるNGN Adaptation
SDP-GW
サーバ(IPv4/IPv6)
FW FW
SDP: Service Delivery Platform
13© Hitachi, Ltd. 2008. All rights reserved.
2-5.安全な宅内機器アクセス
OSGiバンドルによる動的FW制御(デモ)
設定された規則に従いパケットの遮断/通過を設定。
IPv4機器
IPv6機器HGW
不正アクセスファイアウォール特定ポート宛のパケット遮断など
ファイアウォール特定ポート宛のパケット遮断など
セキュアなサービスを提供するために、必要な外部からのアクセスを通過させる一方、外部からの不正侵入を阻止するセキュアなサービスを提供するために、必要な外部からのアクセスを通過させる一方、外部からの不正侵入を阻止する
SIPピンホール制御
外部からファイアウォールを制御し、外部からの必要な通信のみを通過。
NGNからLANのアクセス用にピンホール制御要求
NGNからLANのアクセス用にピンホール制御要求
①SIPによるピンホール要求でファイアウォールを開放
SIPによるピンホール要求でファイアウォールを開放
SIPサーバ②
生成されたピンホールから必要なアクセスのみ通過
生成されたピンホールから必要なアクセスのみ通過
③
LAN(IPv4/IPv6) NGN
(IPv4/IPv6)
SIPによる外部からのピンホール制御
SIPによる外部からのピンホール制御
FW FW
© Hitachi, Ltd. 2008. All rights reserved.
デモ
・OSGiバンドルによる動的FW制御・SIP連携オンデマンドVPN
3
15© Hitachi, Ltd. 2008. All rights reserved.
OSGiバンドルによる動的FW制御デモ構成3-1.
NGN(IPv4/IPv6)網
HGWWebブラウザ
宅内網
標準プロトコル(HTTP)
外部PCのWebブラウザから、標準プロトコルであるHTTPを用い、HGWを経由して、宅内のWebカメラへ遠隔アクセスするデモ外部PCのWebブラウザから、標準プロトコルであるHTTPを用い、HGWを経由して、宅内のWebカメラへ遠隔アクセスするデモ
標準プロトコル経由で宅内機器への安全なアクセスを行う
標準プロトコル経由で宅内機器への安全なアクセスを行う
Webカメラ
OSGiバンドルによる動的FW制御デモ(動画)を行います。
不正アクセス
宅内へのピンホール制御。GWの設置による、宅内への安全な穴あけをOSGiバンドルで実行します。
宅内へのピンホール制御。GWの設置による、宅内への安全な穴あけをOSGiバンドルで実行します。
16© Hitachi, Ltd. 2008. All rights reserved.
SIP連携オンデマンドVPNデモ構成3-2.
擬似NGN網(IPv4/IPv6)
HGWWebブラウザ
宅内網
OpenVPNトンネル
宅内PCの専用接続ツールを使って、HGWのSIP-UAを叩くことによりOpenVPNトンネル経由で、Webサーバへアクセスするデモ宅内PCの専用接続ツールを使って、HGWのSIP-UAを叩くことによりOpenVPNトンネル経由で、Webサーバへアクセスするデモ
・専用接続ツール(HTTP Client)・専用接続ツール(HTTP Client)
Webサーバ
次ページでSIP連携オンデマンドVPNアーキテクチャを説明します。
その後、SIP連携オンデマンドVPNデモ(動画)を行います。
・Reverse HTTP Proxy・OpenVPN Server・SIPサーバ(B2B SIP-UA)
・Reverse HTTP Proxy・OpenVPN Server・SIPサーバ(B2B SIP-UA)
HGW
・HTTP Proxy・OpenVPN Client・SIPクライアント(B2B SIP-UA)
・HTTP Proxy・OpenVPN Client・SIPクライアント(B2B SIP-UA)
擬似センタ網
17© Hitachi, Ltd. 2008. All rights reserved.
インターネットデータ通信サービス3-3.
送受信IPアドレスが同じ場合でも、複数の送信元ポート番号を使って複数セッション接続が可能送受信IPアドレスが同じ場合でも、複数の送信元ポート番号を使って複数セッション接続が可能
[端末側からセッション確立する場合]
・データ系のセッションを確立する際のポート番号をサービス毎に区別して設定↓
・ポート番号でサービス識別が可能
サービスA用サーバ
インターネット
インターネット
サービスB用サーバ
血圧計
Webカメラ
アドレス変換
ポート変換
端末 センタ
○
○
アドレス変換
ポート変換
NATルータ
[インターネット内では、ポート番号の透過性を保証]
NAT装置
18© Hitachi, Ltd. 2008. All rights reserved.
NGNデータ通信サービス3-4.
送受信IPアドレスが同じ場合、複数セッション接続を許容するかどうかはNGNの運用ポリシーに依存送受信IPアドレスが同じ場合、複数セッション接続を許容するかどうかはNGNの運用ポリシーに依存
[端末側からセッション確立する場合]
・TCP/IPセッションを確立する際のポート番号をSDPで規定(RFC4145/4566)↓
・単一SIPセッションで一組のポート番号の割り当てしかできないのが課題
サービスA用サーバNGNNGN
サービスB用サーバ
血圧計
Webカメラ
アドレス変換
ポート変換
端末 センタ
○
×?
アドレス変換
ポート変換
HGW
[NGN網内では、ポート番号透過性を制限]⇒特殊VPN
SDP-GW
SIPサーバ